Tilsynet ble gjennomført 5. og 6. mars 2020.
Mål
Målet med tilsynet var å verifisere hvordan Neptune følger opp styring av risiko knyttet til informasjonssikkerhet for de industrielle IKT-systemene. Hensikten med tilsynet var å verifisere prosesser og systemer hos operatøren som benyttes for å sikre oppfølgingen av disse systemene og hvordan dette gjennomføres på hver enkelt enhet. Videre ønsket vi å verifisere om det er samsvar mellom overordnede prosedyrer og oppfølgingen av systemene på anlegget.
Resultat
Vi har sett på oppbygning av de industrielle IKT-systemene og hvordan disse er segmentert og strukturert. Det ble gjort verifikasjoner mellom de ulike systemene og knytninger disse har til kontorsystemene.
Vi har verifisert styrende dokumentasjon for IKT-sikkerhet av de industrielle IKT-systemene og prosedyrer for disse systemene.
Drift og vedlikehold av de industrielle IKT-systemene ble verifisert ved intervjuer og dokumentgjennomganger. Videre ble det etterspurt hvordan de industrielle IKT-systemene ble fulgt opp, både internt av selskapet og i hvilken grad det var serviceavtaler med leverandører for de ulike systemene. Det ble spesifikt etterspurt hvordan sikkerhet- og kontrollsystem og elektrosystem ble fulgt opp av den ansvarlige.
Vi etterspurte oversikt over hvilket utstyr og tilhørende enheter som inngikk i de industrielle IKT-systemer og hvilke rutiner selskapet hadde for oppfølging av sårbarhetsvarsler, rutiner for sårbarhetsoppdatering samt håndtering av programvare som ikke lenger blir støttet av leverandør.
Det ble etterspurt prosedyrer for og verifisering av funksjonene som ivaretar backup- og disaster recovery av de industrielle IKT-systemene, samt om personellet kjente til disse prosedyrene og hadde trening i disse oppgavene.
Vi har verifisert prosedyre og funksjon for fjerntilkobling mot de industrielle IKT-systemer. Vi har undersøkt rutiner for monitorering og oppfølgning av datatrafikk og hendelseslogger for de industrielle IKT-systemer.
Trening og øvelser er sentrale elementer i håndtering av hendelser. Vi verifiserte hvordan hendelser i de industrielle IKT-systemene skulle håndteres og hvordan driftsorganisasjonen og selskapet sentralt skulle involveres i håndteringen av hendelser.
Vi verifiserte selskapets kompetansekrav til fagpersonell som jobber på og med de industrielle IKT-systemene.
Observasjonene i dette tilsynet er unntatt offentlighet, jf. offl. § 24, 3. ledd.
Hva skjer nå?
Vi har sendt tilsynsrapporten til Neptune og bedt om tilbakemelding på våre observasjoner innen 29. mai 2020.